6698 SAYILI

KİŞİSEL VERİLERİN
KORUNMASI
KANUN’UNUN AMACI
VE KAPSAMI
AMAÇ
2010 yılında 5982 sayılı Kanunla Anayasanın 20.
maddesine eklenen ek fıkra “Herkes, kendisiyle ilgili
kişisel verilerin korunmasını isteme hakkına sahiptir.
Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında
bilgilendirilme, bu verilere erişme, bunların düzeltilmesini
veya silinmesini talep etme ve amaçları doğrultusunda
kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel
veriler, ancak kanunda öngörülen hallerde veya kişinin
açık rızasıyla işlenebilir. Kişisel verilerin korunmasına
ilişkin esas ve usuller kanunla düzenlenir.” hükmünü amir
bulunmakta olup, anılan hüküm ile, herkesin kendisiyle
ilgili kişisel verilerin korunmasını isteme hakkı anayasal
bir hak olarak teminat altına alınmaktadır. Bu bağlamda,
bireylerin kendilerini ilgilendiren kişisel veriler üzerinde
hangi hak ve yetkilere sahip olduğu ve kişisel verilerin
hangi hallerde işlenebileceği hükme bağlanırken, kişisel
verilerin korunmasına ilişkin esas ve usullerin kanunla
düzenleneceği öngörülmektedir.

Nitekim, Kanun’un 1. maddesinde Kanun’un amacı açık bir

şekilde belirtilmiştir. Bu hükme göre amaç, kişisel verilerin
işlenmesinde başta özel hayatın gizliliği olmak üzere
kişilerin temel hak ve özgürlüklerini korumak ve kişisel
verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile
uyacakları usul ve esasları düzenlemektir.

2
Maddenin gerekçesinde de belirtildiği üzere Kanun’un
amacı, kişisel verilerin işlenmesinin disiplin altına
alınması ve Anayasa’da öngörülen başta özel hayatın
gizliliği olmak üzere temel hak ve özgürlüklerin
korunmasıdır. Kanun ile son yıllarda önem kazanan,
kişinin mahremiyet hakkı ile bilgi güvenliği hakkının
korunması ve kişisel verileri işleyen gerçek ve tüzel
kişilerin yükümlülükleri ile uyacakları usul ve esasların
düzenlenmesinin amaçlandığı belirtilmiştir.

Kanunla, kişisel verilerin sınırsız biçimde ve gelişigüzel

toplanması, yetkisiz kişilerin erişimine açılması,
ifşası veya amaç dışı ya da kötüye kullanımı sonucu
kişisel hakların ihlal edilmesinin önüne geçilmesi
amaçlanmaktadır.

Kişisel verilerin hangi kurallara tabi olarak, hangi şartlarda

işlenebileceği hususunu kontrol altına alma amacını
güden Kanun, kişisel verilerin işlenmesine ilişkin denetim
mekanizmaları getirerek, bu verilerin hukuka aykırı olarak
işlenmesini engellemeyi hedeflemektedir. Ayrıca, kişisel
verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile
uyacakları usul ve esasların da düzenlenmesi Kanun’un
amaçları arasında yer almaktadır.

3
Bu maddeye göre Kanun’un amacı:

• Kişisel verilerin işlenmesinde, kişilerin temel hak ve

özgürlüklerini korumak,
• Kişisel verileri işleyen gerçek ve tüzel kişilerin
yükümlülükleri ile uyacakları usul ve esasları
düzenlemek (disiplin altına almak),
• Mahremiyet hakkının korunması,
• Bilgi güvenliği hakkının korunmasıdır.

KAPSAM
I. KANUN’UN KAPSAMI
Kanun’un 2. maddesinde, Kanun’un kapsamı
belirtilmiştir. Bu maddeye göre Kanun, kişisel verileri
işlenen gerçek kişiler ile bu verileri tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla işleyen
gerçek ve tüzel kişiler hakkında uygulanacaktır.

4
• Bu Kanun, dijital
olmayan ve bir veri kayıt
sistemine dahil olmayan
kişisel veriler bakımından
da uygulanamaz.
• Bu Kanun hükümleri,
kişisel verileri işlenen gerçek
kişiler ile bu verileri tamamen
veya kısmen otomatik olan
ya da herhangi bir veri kayıt
sisteminin parçası olmak
kaydıyla otomatik olmayan
yollarla işleyen gerçek ve tüzel
kişiler hakkında uygulanır.

Kanun’da kamu kurumları ile özel kuruluşlar açısından

ayrım yapılmamıştır. Kanunun belirlediği usul ve esaslar
tüm kurum ve kuruluşlar için geçerlidir. Dolayısıyla kamu
kurumlarının işlediği kişisel veriler hakkında da bu Kanun
hükümleri uygulanacaktır. Kanun kapsamında koruma
altına alınan kişisel veriler sadece gerçek kişilere ait olan
kişisel veriler olup, tüzel kişilere ait olanlar hukuken
koruma altında bulunmamaktadır. Bununla birlikte tüzel
kişilere ait olan verilerden gerçek kişilerin belirlenebilmesi
mümkün oluyor ise, bu verilerin de Kanun kapsamında
değerlendirilmesi söz konusu olacaktır.

5
Kanun’da kişisel verilerin otomatik olan veya herhangi
bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla (manuel) işlenmesi bakımından da
herhangi bir fark öngörülmemiştir. Bu doğrultuda kişisel
verilere ulaşımı kolaylaştıracak şekilde, belirli bir kritere
göre yapılandırılmış her türlü sistem Kanun kapsamında
değerlendirilecektir.

Günümüzde kişisel veriler büyük oranda otomatik

yollarla işlenmektedir. Daha önce otomatik olmayan
yollarla işlenmiş verilerin ise pek çok yerde hızla
elektronik ortama aktarıldığı görülmektedir. Buna bağlı
olarak, “tamamen veya kısmen otomatik yollarla işlenen
veriler” ve “herhangi bir veri kayıt sisteminin parçası
olmak kaydıyla otomatik olmayan yollarla işlenen veriler”
6698 sayılı Kanun kapsamında koruma altına alınmıştır.
Dolayısıyla Kanun otomatik olmayan yollarla işlenen
verileri tamamen kapsam dışında bırakmamaktadır.
Burada önemli olan otomatik olmayan yollarla işlenen
verilerin veri kayıt sisteminin parçası olup olmadığıdır.
Örneğin, herhangi bir kritere bağlı olmaksızın kişilerin ad
ve soyadlarının rastgele bir şekilde kağıt üzerine yazılması
hali, Kişisel Verilerin Korunması Kanunu kapsamına
girmemekle birlikte, söz konusu isimlerin sistematik
olarak bir deftere kaydedilmesi halinde, bu veri kaydı
Kanun kapsamında değerlendirilecektir.

6
Kanun’da “kısmen veya tamamen otomatik yolla işleme”
ifadesinin ne anlama geldiği açıklığa kavuşturulmamıştır.
108 sayılı Avrupa Konseyi Sözleşmesi’nde ise “otomatik
işleme” ifadesinden; verilerin kaydı, bu verilere
mantıksal ve/veya aritmetik işlemlerin uygulanması,
verilerin değiştirilmesi, silinmesi, geri elde edilmesi veya
dağıtılması işlemlerinin otomatik veya kısmen otomatik
yöntemlerle gerçekleştirilmesinin anlaşılacağı ifade
edilmiştir.

Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla

otomatik olmayan yollarla işlenen veriler de 6698 sayılı
Kanun kapsamında korunmaktadır. Veri kayıt sistemi,
Kanun’un 3. maddesinde “kişisel verilerin belirli kriterlere
göre yapılandırılarak işlendiği kayıt sistemi” şeklinde
tanımlanmıştır. Dolayısıyla elle işlenen verilerin herhangi
bir kritere göre yapılandırılan bir kayıt sistemine dahil
edilmesi durumunda, bu tür verilerle ilgili olarak da 6698
sayılı Kanun uygulanacaktır.

Otomatik olmayan yollarla işlenen kişisel veriler, bir veri

kayıt sisteminin parçası da değilse Kanun kapsamında
değerlendirilmeyecektir. Fakat bu durum ilgili verilerin
kişisel veri niteliğini etkilemeyeceği için, bu verilere ilişkin
hukuka aykırı eylemler de 5237 sayılı Türk Ceza Kanunu
kapsamında suç teşkil etmeye devam edecektir.

7
6698 sayılı Kanun’da yalnızca gerçek kişilere ait kişisel
verilerin kanunun koruma kapsamı içerisine dâhil olacağı
belirtilmiştir. Dolayısıyla; ilke olarak, tüzel kişilere ait
kişisel verilerin korunması 6698 sayılı Kanun’un kapsamı
dâhilinde değildir. Fakat tüzel kişiye ait bir verinin elde
edilmesi, bir veya birden fazla gerçek kişinin kimliğinin
belirlenmesine neden olması halinde, bu tür verilerin de
Kanun’un korumasından yararlanması mümkün olabilir.

II. KANUN KAPSAMINA

GİRMEYEN DURUMLAR
Kanun sadece gerçek kişilerle ilgili verilere uygulanır.
Tüzel kişilerle ilgili veriler bu Kanun kapsamında değildir.
Çünkü Kanun’un 1. maddesinde “kişisel verileri işlenen
gerçek kişiler” ifadesi kullanılmıştır. Kanunun kişisel
verileri işlenmesine ilişkin hükümleri fiziksel olarak kayıt
altına alınan ve veri kayıt sisteminin parçası olmayan
kişisel verilere de uygulanmaz. Nitekim Kanun’un 1.
maddesinde “ tamamen veya kısmen otomatik olan
ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işlenmesi” ifadesi
kullanılmıştır.

Kanun’un 28. maddesinde tamamen veya kısmen kapsam

dışı olan hususlar hükme bağlanmıştır. Bu maddenin 1.

8
fıkrasında tam istisnalar, 2. fıkrasında ise kısmi istisnalar
düzenlenmiştir. Tam istisna halinde Kanun hiçbir şekilde
uygulama alanı bulmamaktadır. Kısmi istisnalarda
ise, Kanun’un sadece bazı maddeleri (aydınlatma
yükümlülüğü, veri sahibinin hakları ve veri sorumluları
siciline kayıt) uygulama alanı bulmamaktadır.

a) Tamamen Kanun Kapsamı

Dışında Tutulan Hususlar
Kanun’un 28. maddesinin 1. fıkrasında, Kanun’un
kapsamına girmeyen durumlar tek tek sayılmıştır. Bunlar:

• Kişisel verilerin, üçüncü kişilere verilmemek ve veri

güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla
gerçek kişiler tarafından tamamen kendisiyle veya
aynı konutta yaşayan aile fertleriyle ilgili faaliyetler
kapsamında işlenmesi.
• Kişisel verilerin resmi istatistik ile anonim hâle
getirilmek suretiyle araştırma, planlama ve istatistik
gibi amaçlarla işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini, ekonomik güvenliği, özel
hayatın gizliliğini veya kişilik haklarını ihlal etmemek
ya da suç teşkil etmemek kaydıyla, sanat, tarih,
edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü
kapsamında işlenmesi.

9
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini veya ekonomik güvenliği
sağlamaya yönelik olarak kanunla görev ve yetki
verilmiş kamu kurum ve kuruluşları tarafından
yürütülen önleyici, koruyucu ve istihbari faaliyetler
kapsamında işlenmesi.
• Kişisel verilerin soruşturma, kovuşturma, yargılama
veya infaz işlemlerine ilişkin olarak yargı makamları
veya infaz mercileri tarafından işlenmesidir.

Kişisel verilerin aynı konuttaki kişiler

tarafından işlenmesi:
Kişisel verilerin, üçüncü kişilere verilmemek ve veri
güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla
gerçek kişiler tarafından tamamen kendisiyle veya
aynı konutta yaşayan aile fertleriyle ilgili faaliyetler
kapsamında işlenmesi durumunda Kanun hükümleri
uygulanmaz.

Bu fıkra kapsamında; aynı konutta yaşayan aile

fertlerinin aile içinde verileri işlemesi noktasında istisna
söz konusudur. Örneğin, doğum günü gibi özel günlerde
aile içerisinde çekilen fotoğraflar bu Kanun kapsamında
değildir. Ancak bu verilerin 3. kişilerle paylaşılması
veya alenileştirilmesi halinde, örneğin doğum gününde
çekilen fotoğrafların aleni olacak şekilde sosyal medyada
paylaşılması durumunda istisnadan söz edilemeyecektir.

10
Kişisel verilerin anonim hale
getirilerek belirli amaçlar için
kullanılması:
Kişisel verilerin resmi istatistik ile (örneğin, TÜİK) anonim
hâle getirilmek suretiyle araştırma, planlama ve istatistik
gibi amaçlarla işlenmesi durumunda Kanun hükümleri
uygulanmaz.

“Anonim hâle getirilmek suretiyle” hükmü iki şekilde

yorumlanabilir;

Başlangıçtan itibaren anonim olan verilerin araştırma,

planlama ve istatistik gibi amaçlarla kullanılması
halinde, anonim veri kişisel veri olmadığı için istisna
kapsamındadır. Örneğin, yapılan bir ankette tamamen
anonim verilerin kullanılması.

Araştırma, planlama ve istatistik gibi amaçlarla kişisel

veri toplanması sonrasında verilerin anonimleştirilmesi
de istisna kapsamındadır. Örneğin, istatistik amaçlı
ve sonradan anonimleştirmek üzere yapılacak anket
için kişisel veri toplanması sonrasında anonimleştirme
yapılması durumunda olduğu gibi.

Bu durumda, ilk halde kişisel veri toplama faaliyeti

gerçekleştirildiği için Kanun kapsamında yer almakta ve
istisna hükümlerine dahil olmamaktadır. Ancak, daha
sonra bu veriler anonimleştirildiği için Kanun kapsamına
girmemektedir.
11
“Araştırma, planlama ve istatistik gibi” düzenlemesindeki
“gibi” sözcüğü, bu sayılanların örnek olduğunu
belirtmektedir. Dolayısıyla benzer yöntemlerin de istisna
kapsamında yer alabileceği söylenebilir. Burada önemli
olan, bu bilgilerin anonimleştirilmesidir.

Kişisel verilerin sanat, tarih, edebiyat

veya bilimsel amaçlarla ya da ifade
özgürlüğü kapsamında işlenmesi:
Kişisel verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini, ekonomik güvenliği, özel
hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya
da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat
veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında
işlenmesi durumunda bu Kanun hükümleri uygulanmaz.

12
Kişisel verilerin millî savunmayı, millî
güvenliği, kamu güvenliğini, kamu
düzenini veya ekonomik güvenliği
sağlamaya yönelik olarak kanunla
görev ve yetki verilmiş kamu kurum
ve kuruluşları tarafından yürütülen
önleyici, koruyucu ve istihbari
faaliyetler kapsamında işlenmesi:
Kişisel verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini veya ekonomik güvenliği
sağlamaya yönelik olarak kanunla görev ve yetki verilmiş
kamu kurum ve kuruluşları tarafından yürütülen önleyici,
koruyucu ve istihbarı faaliyetler kapsamında işlenmesi
durumunda bu Kanun hükümleri uygulanmaz. Buna
göre milli istihbarat birimlerinin milli savunmayı, kamu
güvenliğini, milli güvenliği, kamu düzenini ve ekonomik
güvenliği sağlamaya yönelik faaliyetler kapsamında
işlediği veriler kanun kapsamı dışında tutulmaktadır.
Aynı şekilde, belirtilen amaçlarla suç gelirlerinin
aklanması, terörizmin finansmanının önlenmesi ve
mali suçların araştırılması konusunda yetkili birim (Mali
Suçları Araştırma Kurulu) tarafından yürütülen faaliyetler
kapsamında işlenen veriler de bu istisna kapsamındadır.
Bu konularda yetkili birimin; milli savunmayı, milli
güvenliği, kamu güvenliğini, kamu düzenini ve ekonomik
güvenliği sağlamaya yönelik olmak üzere mali araştırma

13
yapmak, mali istihbarat elde etmek ve üretmek, veri
toplamak, şüpheli işlem bildirimleri ve diğer bildirimleri
almak, analiz etmek, inceleme yapmak, değerlendirmek
ve ilgili kurumlarla paylaşmak suretiyle işlediği veriler de
kapsam dışındadır.

Kişisel verilerin yargı ve infaz

mercileri tarafından işlenmesi:
Kişisel verilerin soruşturma, kovuşturma, yargılama veya
infaz işlemlerine ilişkin olarak yargı makamları veya infaz
mercileri tarafından işlenmesi durumunda bu Kanun
hükümleri uygulanmaz.

b) Kısmen Kanun Kapsamı Dışında

Tutulan Hususlar
Kanun’un 28. maddesinin 2. fıkrasında sadece belli
durum ve şartlarda Kanun’un kapsamına girmeyen
hususlar düzenlenmiştir. Buna göre; Kanun’un amacına
ve temel ilkelerine uygun ve orantılı olmak kaydıyla, veri
sorumlusunun aydınlatma yükümlülüğünü düzenleyen
10. madde, zararın giderilmesini talep etme hakkı hariç
ilgili kişinin haklarını düzenleyen 11. madde ve Veri
Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16.
madde hükümleri aşağıdaki hâllerde uygulanmaz:
• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya
suç soruşturması için gerekli olması. (Örneğin, bir
polisin ciddi bir suçla ilgili şüphelinin kişisel verilerini

14
 işlemesi bu kapsamda değerlendirilebilecektir. Çünkü
polisin hangi kişisel verilerini işlediği veya hangi
amaçlarla işlediğini şüpheliye anlatması halinde,
şüphelinin ilgili verileri yok etmesi veya silmesi riski
doğacaktır.)

• İlgili kişinin kendisi tarafından alenileştirilmiş kişisel

verilerin işlenmesi. (Örneğin, kişinin herkesin erişimine
açık bir şekilde sosyal medya hesabında kişisel verisini
paylaşması halinde verinin işlenmesi.)

• Kişisel veri işlemenin kanunun verdiği yetkiye

dayanılarak görevli ve yetkili kamu kurum ve kuruluşları
ile kamu kurumu niteliğindeki meslek kuruluşlarınca,
denetleme veya düzenleme görevlerinin yürütülmesi
ile disiplin soruşturma veya kovuşturması için gerekli
olması.

• Kişisel veri işlemenin bütçe, vergi ve mali konulara

ilişkin olarak Devletin ekonomik ve mali çıkarlarının
korunması için gerekli olması.

Kanun’da belirtildiği gibi 10. 11. ve 16. maddelerin

uygulanmaması için maddede belirtilen ihtimallerden
birinin gerçekleşmesi gerekir. Ayrıca bu hükümlerin
uygulanabilmesi için belirtilen istisnai hallerin Kanun’un
amacına, temel ilkelerine uygun ve orantılı olması gerekir.

15
www.kvkk.gov.tr